Upload
tranphuc
View
217
Download
0
Embed Size (px)
Citation preview
IU-SOP-01-01 GESTIÓN DE INCIDENTES DE
SEGURIDAD DE LA INFORMACIÓN
Vigencia: 27-11-09
PERTENECE AL PROCESO ADMINISTRACIÓN DEL RIESGO
CREDITICIO Y OPERATIVO DEL MARCROPROCESO SOPORTE
Versión: 1 INSTRUCTIVO DE USUARIO INFORMACIÓN INTERNA
Página 1 de 16
Este documento impreso se considera copia no controlada
Gestión de Incidentes de
Seguridad de la Información
IU-SOP-01-01 GESTIÓN DE INCIDENTES DE
SEGURIDAD DE LA INFORMACIÓN
Vigencia: 27-11-09
PERTENECE AL PROCESO ADMINISTRACIÓN DEL RIESGO
CREDITICIO Y OPERATIVO DEL MARCROPROCESO SOPORTE
Versión: 1 INSTRUCTIVO DE USUARIO INFORMACIÓN INTERNA
Página 2 de 16
Este documento impreso se considera copia no controlada
Tabla de contenido
CARACTERISTICAS .............................................................................................................................................. 3
1 OBJETIVO ..................................................................................................................................................... 4
2 ALCANCE ...................................................................................................................................................... 4
3 ¿QUÉ ES LA GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN? .......................................... 4
4 METODOLOGÍA DE GESTIÓN DE INCIDENTES ............................................................................................. 4
5 PREPARACIÓN Y PREVENCIÓN .................................................................................................................... 5
5.1 ESTABLECIMIENTO DE PROCEDIMIENTOS DE GESTIÓN .................................................................................................................... 5 5.1.1 Categorización de incidentes ................................................................................................................................... 5 5.1.2 Clasificación de incidentes ....................................................................................................................................... 6
5.2 PREVENCIÓN....................................................................................................................................................................... 6
6 DETECCIÓN Y NOTIFICACIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN ................................ 7
6.1 DETECCIÓN DE INCIDENTES ..................................................................................................................................................... 7 6.1.1 Actividades desarrolladas para facilitar la detección de incidentes .......................................................................... 7
6.2 NOTIFICACIÓN DEL INCIDENTE ................................................................................................................................................. 8
7 ANÁLISIS PRELIMINAR ............................................................................................................................... 11
8 CONTENCIÓN ERRADICACIÓN Y RECUPERO.............................................................................................. 12
9 INVESTIGACIÓN ......................................................................................................................................... 13
9.1 RECOLECCIÓN DE DATOS ...................................................................................................................................................... 13 9.2 RECOLECCIÓN DE EVIDENCIA ................................................................................................................................................. 13 9.3 ACTIVIDADES POSTERIORES .................................................................................................................................................. 14
10 INTEGRACIÓN DE LA GESTIÓN DE INCIDENTES CON EL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN ................................................................................................................................................. 15
CONTROL DEL DOCUMENTO E HISTORIA DE CAMBIOS ................................................................................... 16
IU-SOP-01-01 GESTIÓN DE INCIDENTES DE
SEGURIDAD DE LA INFORMACIÓN
Vigencia: 27-11-09
PERTENECE AL PROCESO ADMINISTRACIÓN DEL RIESGO
CREDITICIO Y OPERATIVO DEL MARCROPROCESO SOPORTE
Versión: 1 INSTRUCTIVO DE USUARIO INFORMACIÓN INTERNA
Página 3 de 16
Este documento impreso se considera copia no controlada
CARACTERISTICAS
OBJETO Definir la metodología de gestión de incidentes de seguridad de la información
ALCANCE Este instructivo aplica para la gestión de incidentes de seguridad de la información de Leasing
Bolívar a nivel nacional.
DUEÑO Todos los Jefes de las Áreas y Dueños de Procesos
SOFTWARE Y
HARDWARE N/A
IU-SOP-01-01 GESTIÓN DE INCIDENTES DE
SEGURIDAD DE LA INFORMACIÓN
Vigencia: 27-11-09
PERTENECE AL PROCESO ADMINISTRACIÓN DEL RIESGO
CREDITICIO Y OPERATIVO DEL MARCROPROCESO SOPORTE
Versión: 1 INSTRUCTIVO DE USUARIO INFORMACIÓN INTERNA
Página 4 de 16
Este documento impreso se considera copia no controlada
GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN
Objetivo
La frecuencia creciente de incidentes de seguridad de la información, rapidez de propagación e impacto hacen necesaria la
definición e implantación de buenas prácticas de gestión de incidentes políticas, recursos y procedimientos de seguridad
específicos.
El objetivo de este documento es establecer la metodología y procedimientos de gestión de incidentes de
seguridad de la información para Leasing Bolívar.
Alcance
Este documento aplica a los incidentes de seguridad de la información presentados en la compañía a nivel
nacional.
1 ¿Qué es la gestión de incidentes de seguridad de la información? Consiste en la asignación oportuna de los recursos necesarios y su uso adecuado, con el objeto de prevenir,
detectar y corregir incidentes que afectan la seguridad de la información.
Algunos beneficios de la gestión de incidentes son:
Responder de modo sistemático ante incidentes. Adoptar medidas de respuesta adecuadas a cada incidente
Favorecer la continuidad del negocio ante incidentes de seguridad con objeto de minimizar los impactos en la empresa.
Facilitar la identificación y asignación de presupuestos adecuados para la gestión de incidentes.
Utilizar la información y conocimiento obtenido en la gestión de incidentes para establecer métricas y realizar una mejor
gestión de riesgos y futuros incidentes.
2 Metodología de Gestión de Incidentes La gestión de incidentes de seguridad de la información en Leasing Bolívar, se desarrolla a través de una serie de
etapas, que tienen como fin último generar información útil para la toma de decisiones basadas en hechos
históricos, que ayuden a mejorar la estrategia de seguridad de la información:
Figura 1 Metodología de gestión de incidentes de seguridad de la información
IU-SOP-01-01 GESTIÓN DE INCIDENTES DE
SEGURIDAD DE LA INFORMACIÓN
Vigencia: 27-11-09
PERTENECE AL PROCESO ADMINISTRACIÓN DEL RIESGO
CREDITICIO Y OPERATIVO DEL MARCROPROCESO SOPORTE
Versión: 1 INSTRUCTIVO DE USUARIO INFORMACIÓN INTERNA
Página 5 de 16
Este documento impreso se considera copia no controlada
3 Preparación y prevención
En esta etapa del proceso ocurre el establecimiento de la capacidad de respuesta a incidentes, es decir se disponen los
elementos necesarios para registrar y clasificar correctamente los incidentes de seguridad, de forma que en un futuro esta
información sea el insumo para desarrollar estrategias de prevención de nuevos incidentes.
3.1 Establecimiento de procedimientos de gestión
3.1.1 Categorización de incidentes
En Leasing Bolívar, existe un registro de eventos de riesgo operativo: en la categorización de estos eventos se
encuentran contemplados, adicionalmente, los posibles incidentes o eventos de seguridad de la información,
marcados en amarillo a continuación:
Fraude Interno
Actividades no autorizadas
Uso indebido de facultades y poderes
Divulgación de información privilegiada
Otras operaciones no autorizadas
Hurto y Fraude
Falsificación de documentos
Vulneración de sistemas de identificación y de seguridad
Desfalco y malversación
Uso y/o divulgación de información privilegiada
Espionaje industrial
Extorsión y soborno
Otros fraudes internos
Fraude Externo
Uso fraudulento de productos y servicios
Uso indebido por terceros
Mala utilización por el titular
Hurto y Fraude
Robos y atracos perpetrados contra la entidad
Uso fraudulento de títulos valores
Falsificación de documentos
Suplantación de personas
Estafas
Uso y/o divulgación de información privilegiada
Espionaje industrial
Extorsión y soborno
Secuestros y rescates
Contrabando
Seguridad Informática Utilización inadecuada de claves de acceso y/o niveles de autorización
Fraude a través de ordenador
Relaciones Laborales
Gestión de los recursos humanos
Deficiencias en la contratación
Huelgas
Despidos improcedentes
Admisión forzosa de personal externo
IU-SOP-01-01 GESTIÓN DE INCIDENTES DE
SEGURIDAD DE LA INFORMACIÓN
Vigencia: 27-11-09
PERTENECE AL PROCESO ADMINISTRACIÓN DEL RIESGO
CREDITICIO Y OPERATIVO DEL MARCROPROCESO SOPORTE
Versión: 1 INSTRUCTIVO DE USUARIO INFORMACIÓN INTERNA
Página 6 de 16
Este documento impreso se considera copia no controlada
Retribución y beneficios sociales
Incumplimiento de la seguridad laboral
Multas y sanciones
Discriminación y acoso Difamación e invasión de la intimidad
Discriminación
Clientes
Actividades de asesoría Pérdidas por indemnización, sanciones
Defectos de los productos
Pérdidas por indemnización, sanciones
Prácticas comerciales impropias
Pérdidas por sanciones y reclamaciones
Incumplimiento de la normativa de la competencia
Discriminación
Dumping
Sobreprecios
Sobornos y comisiones ocultas
Blanqueo de Capitales
Venta engañosa y ocultación de riesgos
Tabla 1 Categorización de Eventos de Riesgo Operativo
Los incidentes se pueden originar y materializar de maneras muy distintas. Con la categorización de incidentes se busca
desarrollar procedimientos para gestionar los tipos de incidentes con más probabilidad de ocurrencia o mayor impacto
previsible en la empresa
Con el objeto de permitir un análisis más sencillo de los incidentes presentados en la empresa se clasificaron las
posibles causas o factores de riesgo que pueden generar incidentes en las siguientes categorías:
Recurso Humano
Procesos
Tecnología
Infraestructura
Fraude externo
3.1.2 Clasificación de incidentes
Para hacer la clasificación de incidentes hay que tener en cuenta los recursos afectados y la criticidad de los
mismos y los efectos negativos generados por el incidente. La clasificación se realiza de acuerdo a la criticidad de
los activos de información afectados y a las consecuencias o pérdidas que genere el incidente así:
Generan pérdida y afecta el estado de pérdidas y ganancias
Generan pérdida y no afectan el estado de pérdidas y ganancias
No generan pérdida
3.2 Prevención
IU-SOP-01-01 GESTIÓN DE INCIDENTES DE
SEGURIDAD DE LA INFORMACIÓN
Vigencia: 27-11-09
PERTENECE AL PROCESO ADMINISTRACIÓN DEL RIESGO
CREDITICIO Y OPERATIVO DEL MARCROPROCESO SOPORTE
Versión: 1 INSTRUCTIVO DE USUARIO INFORMACIÓN INTERNA
Página 7 de 16
Este documento impreso se considera copia no controlada
Leasing Bolívar para la gestión de incidentes de seguridad de la información prevee la disponibilidad de:
Personal (equipo, personas individuales) para la gestión de incidentes: gestores (Área de Riesgo operativo), técnicos (Área
de Sistemas)
Documentación de sistemas y redes: inventario de activos, diagramas, procedimientos y ficheros de configuración.
Informes de actividad considerada normal (“baseline”) de redes y sistemas que permitan detectar actividades anómalas.
4 Detección y notificación de Incidentes de Seguridad de la Información
4.1 Detección de incidentes La detección de incidentes de seguridad se puede hacer mediante advertencias (señal que indica la posible
ocurrencia de un incidente) e indicadores (señal de que un incidente ocurrió o está ocurriendo).
Algunas fuentes de advertencias e indicadores que Leasing Bolívar considera en su gestión de incidentes son:
Alertas de software: sistemas de detección y prevención de intrusiones IDS/IPS, antivirus, sistemas de
monitorización de servicios.
Logs de sistemas operativos, dispositivos de red y aplicaciones.
Información pública: nuevas vulnerabilidades y “exploits”, sitios web y listas de correo de profesionales
donde se comparten experiencias de incidentes en distintas organizaciones.
Personal: Es responsabilidad de los funcionarios informar al Jefe cualquier evento de riesgo materializado o
posible incidente, una vez sea detectado durante el desarrollo de sus funciones.
4.1.1 Actividades desarrolladas para facilitar la detección de incidentes
Conocer el perfil y actividad de las redes y sistemas
Establecer las características de la actividad normal de las redes y sistemas de la empresa.
De este modo, se pueden detectar cambios que puedan ser indicadores o advertencias de incidentes.
Centralizar, correlacionar y conservar información de logs.
Establecer uno o más servidores de la empresa donde se puedan consolidar, correlacionar y conservar copias de los
ficheros de logs de los distintos sistemas de la empresa como cortafuegos, dispositivos de comunicaciones, servidores y
sistemas de detección o prevención de intrusiones. Correlacionar la información de logs.
IU-SOP-01-01 GESTIÓN DE INCIDENTES DE
SEGURIDAD DE LA INFORMACIÓN
Vigencia: 27-11-09
PERTENECE AL PROCESO ADMINISTRACIÓN DEL RIESGO
CREDITICIO Y OPERATIVO DEL MARCROPROCESO SOPORTE
Versión: 1 INSTRUCTIVO DE USUARIO INFORMACIÓN INTERNA
Página 8 de 16
Este documento impreso se considera copia no controlada
4.2 Notificación del incidente
Figura 2 Proceso de Notificación de Incidentes de Seguridad de la Información
Es responsabilidad de todos los funcionarios de Leasing Bolívar reportar al área de Riesgo Operativo los
incidentes de seguridad de la Información que detecten en sus áreas de responsabilidad. Este reporte se
efectuará a través del siguiente formato:
IU-SOP-01-01 GESTIÓN DE INCIDENTES DE
SEGURIDAD DE LA INFORMACIÓN
Vigencia: 27-11-09
PERTENECE AL PROCESO ADMINISTRACIÓN DEL RIESGO
CREDITICIO Y OPERATIVO DEL MARCROPROCESO SOPORTE
Versión: 1 INSTRUCTIVO DE USUARIO INFORMACIÓN INTERNA
Página 9 de 16
Este documento impreso se considera copia no controlada
Figura 3 Formato de Registro de Eventos de Riesgo Operativo
Fecha de reporte: Fecha en la que se realiza el reporte, debe ser el mismo día en que se descubre el evento. Este
campo es obligatorio.
Sucursal: Sucursal a la que pertenece el funcionario que está realizando el reporte. Este campo es obligatorio.
IU-SOP-01-01 GESTIÓN DE INCIDENTES DE
SEGURIDAD DE LA INFORMACIÓN
Vigencia: 27-11-09
PERTENECE AL PROCESO ADMINISTRACIÓN DEL RIESGO
CREDITICIO Y OPERATIVO DEL MARCROPROCESO SOPORTE
Versión: 1 INSTRUCTIVO DE USUARIO INFORMACIÓN INTERNA
Página 10 de 16
Este documento impreso se considera copia no controlada
Canal o servicio de atención: Canal o medio de a través del cual se presta el servicio o se llega al cliente. Este
campo es obligatorio.
Consecutivo: Número asignado por la unidad de Riesgo Operativo, cada vez que reciba un reporte de evento de
riesgo. Este campo no debe diligenciarse por el funcionario.
Nombre del funcionario: Nombre de la persona que realiza el reporte. Este campo es obligatorio
Departamento: Departamento al cual pertenece el funcionario que hace el reporte. Este campo es obligatorio.
Cargo: Cargo del funcionario que realiza el reporte. Este campo es obligatorio.
Producto/Servicio afectado: Es el macroproceso afectado. Este campo no es obligatorio.
Proceso: Proceso al que pertenece el riesgo y el que se van a registrar. Este campo no es obligatorio.
Riesgo: Clasificación general de los riesgos detectados en cada proceso. Este campo no es obligatorio.
Descripción detallada del evento: Registro de la descripción detallada del evento o suceso de riesgo materializado.
Este campo es obligatorio.
Fecha inicio evento: Fecha en la que se inició el evento. Este campo es obligatorio
Descripcion fecha de inicio de evento: Descripción de la fecha en la que considera que se inicio el evento de
riesgo. Este campo es obligatorio
Fecha de finalización del evento: Fecha en la que finalizó el evento. Este campo es obligatorio.
Descripción de la fecha de finalización del evento: Descripción de la fecha en la que considera que finalizó el
evento de riesgo. Este campo es obligatorio
Fecha de descubrimiento del evento: Fecha en la que el funcionario registra que descubrió el evento. Este campo
es obligatorio
Descripción de la fecha de descubrimiento del evento: Descripción de la fecha en la que descubrió el evento de
riesgo. Este campo es obligatorio
Fecha de contabilización: Fecha en la que se contabiliza en las cuentas respectivas PUC la cuantía por perdida. Este
campo no es obligatorio
Cuentas PUC afectadas: Cuentas en las que se registran las pérdidas. Este campo no es obligatorio
Cuantía: Monto al que haciende la pérdida. Este campo no es obligatorio.
IU-SOP-01-01 GESTIÓN DE INCIDENTES DE
SEGURIDAD DE LA INFORMACIÓN
Vigencia: 27-11-09
PERTENECE AL PROCESO ADMINISTRACIÓN DEL RIESGO
CREDITICIO Y OPERATIVO DEL MARCROPROCESO SOPORTE
Versión: 1 INSTRUCTIVO DE USUARIO INFORMACIÓN INTERNA
Página 11 de 16
Este documento impreso se considera copia no controlada
Descripción de la cuantía pérdida: Descripción detallada del monto de la pérdida. Este campo no es obligatorio.
Divisa: Moneda extranjera en la que se presenta la presenta el monto de perdida. Este campo es obligatorio.
Tipo de pérdida: Tipo de pérdida provocada por el evento de riesgo. Este campo es obligatorio y siempre debe
registrarse “Generan pérdida y afectan el P&G”.
Cuantía total recuperada: Monto total recuperado. Este campo no es obligatorio.
Fecha de recuperación: Fecha en la que se logra recuperar algo del monto perdido por el evento. Este campo no es
obligatorio.
Cuantía recuperada por seguros: Monto total recuperado por concepto de seguros. Este campo no es obligatorio.
Fecha de recuperación: Fecha en la que se logra recuperar total o parcialmente el monto asociado a la
materialización del evento de riesgo. Este campo no es obligatorio.
Línea de negocio: Línea operativa o de negocios a la cual pertenece el proceso afectado. Este campo no es
obligatorio.
Tipo de riesgo: Clase de evento al que pertenece el riesgo presentado. Este campo no es obligatorio.
Observaciones: Observaciones adicionales que desee realizar el funcionario después de haber enviado el reporte a
la unidad de riesgo. Este campo no es obligatorio.
Una vez un incidente ha sido detectado, el equipo de respuesta ante incidentes realiza la notificación del incidente a las
personas adecuadas dentro y fuera de la empresa
5 Análisis preliminar
Cuando se reporta un evento de riesgo operativo que constituye un incidente de seguridad de la información el área de
Riesgo Operativo, con apoyo del Área de Sistemas o del Área de Recursos Humanos y Administrativos (Cuando aplique)
debe recolectar la siguiente información:
Alcance del incidente: Qué activos de información afecta (redes, sistemas, documentos y aplicaciones entre otros)
Qué originó el incidente
Cómo ocurrió (o está ocurriendo) el incidente – métodos, herramientas utilizadas, vulnerabilidades explotadas,
entre otras.
El impacto potencial en las actividades del organismo
IU-SOP-01-01 GESTIÓN DE INCIDENTES DE
SEGURIDAD DE LA INFORMACIÓN
Vigencia: 27-11-09
PERTENECE AL PROCESO ADMINISTRACIÓN DEL RIESGO
CREDITICIO Y OPERATIVO DEL MARCROPROCESO SOPORTE
Versión: 1 INSTRUCTIVO DE USUARIO INFORMACIÓN INTERNA
Página 12 de 16
Este documento impreso se considera copia no controlada
Una vez detectado un incidente, se clasifica en uno de los tipos de incidentes contemplados en los procedimientos de
gestión.
Las características del incidente, número, tipo de recursos afectados y criticidad de éstos determinará el impacto previsible
para el negocio de la empresa y el orden de prioridad en el tratamiento de los incidentes caso de presentarse más de uno
simultáneamente.
6 Contención Erradicación y Recupero
Figura 4 Tratamiento de Incidentes de Seguridad de la Información
Las estrategias de contención de incidentes varían dependiendo del tipo de incidente e impacto previsible en la empresa.
Puede ser necesario tomar decisiones como deshabilitar servicios, apagar sistemas ó desconectar equipos de la red antes
de que el impacto pueda extenderse a la empresa.
La empresa a través del análisis de riesgos determina los impactos previsibles para cada tipo de incidente y debe definir
estrategias de contención en función del nivel de riesgo considerado como aceptable. En esta etapa es muy recomendable
recolectar evidencia del incidente.
Una vez ha sido realizada la contención del incidente, hay que verificar si es necesario eliminar o limpiar componentes
asociados al incidente y proceder a la recuperación de la situación de operación normal en la empresa. En las actividades de
erradicación se realiza la eliminación de los componentes asociados al incidente y otras actividades que se consideren
adecuadas para resolver el incidente o prevenir futuras ocurrencias. Actividades habituales de erradicación pueden ser la
instalación de parches de seguridad, cambios de reglas de cortafuegos o de listas de acceso en dispositivos de red.
Las actividades de recuperación pueden incluir acciones como recuperar sistemas completos, restaurar back-ups,
IU-SOP-01-01 GESTIÓN DE INCIDENTES DE
SEGURIDAD DE LA INFORMACIÓN
Vigencia: 27-11-09
PERTENECE AL PROCESO ADMINISTRACIÓN DEL RIESGO
CREDITICIO Y OPERATIVO DEL MARCROPROCESO SOPORTE
Versión: 1 INSTRUCTIVO DE USUARIO INFORMACIÓN INTERNA
Página 13 de 16
Este documento impreso se considera copia no controlada
reemplazar componentes afectados con versiones desinfectadas, instalar actualizaciones de software, cambiar contraseñas
o reforzar el perímetro de la red revisando configuraciones de cortafuegos.
7 Investigación
Una vez el incidente haya sido tratado, el comité de seguridad de la información debe investigar de forma detallada y
rápida los eventos de riesgo que se detecten para realizar el seguimiento de las causas e implicaciones de dichos sucesos. El
comité debe obrar de forma imparcial y responsable durante la investigación que realice para identificar las causas y
registrar las consecuencias asociadas a los eventos de riesgo o incidentes detectados.
7.1 Recolección de datos Algunas fuentes de recolección de datos de incidentes son las siguientes:
INFORMACIÓN BASADA EN HOST
Live Data Collection
Ej.: Fecha y hora del sistema, aplicaciones corriendo en el sistema, conexiones de red establecidas, puertos abiertos,
aplicaciones escuchando en dichos puertos, estado de la placa de red
Forensic duplication
Ej.: Backups, archivos copiados recientemente, etc.
INFORMACIÓN BASADA EN LA RED
Ej.: Logs de IDSs, logs de monitoreo,
información recolectada mediante sniffers, logs
de routers, logs de firewalls, información de
servidores de autenticación
OTRA INFORMACIÓN
Ej.: Testimonio de personal
7.2 Recolección de evidencia
Se deben recoger evidencias de los incidentes para su utilización con fines de análisis y como posibles pruebas caso de ser
requerido el inicio de acciones legales. Las evidencias pueden ser de sistemas de información (ficheros, imágenes de discos,
equipos) o cualquier otra que se considere relevante para el análisis del incidente o para inicio de procedimientos legales.
Hay que tener en cuenta los siguientes aspectos en el momento de recolectar evidencia:
AUTENTICIDAD
Quien haya recolectado la evidencia debe poder probar que es auténtica
CADENA DE CUSTODIA
Debe existir un registro detallado del tratamiento de la evidencia, incluyendo quienes, cómo y cuando la transportaron,
almacenaron y analizaron, a fin de evitar alteraciones o modificaciones que comprometan la misma.
IU-SOP-01-01 GESTIÓN DE INCIDENTES DE
SEGURIDAD DE LA INFORMACIÓN
Vigencia: 27-11-09
PERTENECE AL PROCESO ADMINISTRACIÓN DEL RIESGO
CREDITICIO Y OPERATIVO DEL MARCROPROCESO SOPORTE
Versión: 1 INSTRUCTIVO DE USUARIO INFORMACIÓN INTERNA
Página 14 de 16
Este documento impreso se considera copia no controlada
VALIDACION
Garantizar que la evidencia recolectada es la misma que la presentada ante las autoridades.
7.3 Actividades posteriores Organizar reuniones de autoevaluación: Se realiza un estudio de recapitulación analizando las características de
los incidentes, impacto y acciones emprendidas para la detección, análisis y recuperación.
Mantener la documentación: Se actualiza la documentación de procesos, instructivos de usuario, entre otros de
acuerdo a los hallazgos del incidente.
Crear bases de conocimiento: los nuevos conocimientos adquiridos a través del tratamiento del incidente se
registran en la base de conocimiento de la compañía.
Integrar la gestión de incidentes al análisis de riesgos: El registro histórico de eventos o incidentes de seguridad
de la información sirve como fuente de información para la gestión de riesgos de seguridad de la información.
Identificando el riesgo que se materializó en cada uno de los eventos y el impacto ocasionado, se puede ajustar el
modelo de riesgo de forma que se acerque más a la realidad de la empresa.
Proponer mejoras y estrategias que permitan:
o Detectar nuevos riesgos
o Implantar controles que mitiguen los riesgos asociados
o Implantar controles que prevengan riesgos asociados
o Implantar controles que detecten riesgos asociados
Para lo anterior se recoge y analizan métricas sobre los tipos y frecuencia de incidentes, impactos (financieros, obligaciones
legales, imagen frente a terceros, operativos), métodos de resolución, coste de la resolución de incidentes y acciones
correctivas o preventivas.
A continuación se presenta un resumen de los aspectos relevantes de la medición de incidentes:
¿Qué puede ocurrir? Consecuencias ¿Por qué? – ¿Cómo?
Tipos de eventos de riesgo
relacionados con:
Procesos
Infraestructura
Fraude Interno
Fraude Externo
Relaciones laborales
Clientes
Fallas tecnológicas
Ejecución y administración
de procesos
Perdida de imagen
Costos operativos
Costos no operativos
Sanciones
Ineficiencia de controles y
políticas
Omisión de controles y
políticas
Falta de capacitación y fallas
en reclutamiento
Inadecuado manejo de la
información
Reprocesos
Acciones no alineadas con los
objetivos de la Compañía
Figura 5 Aspectos relevantes en la Medición de Incidentes
IU-SOP-01-01 GESTIÓN DE INCIDENTES DE
SEGURIDAD DE LA INFORMACIÓN
Vigencia: 27-11-09
PERTENECE AL PROCESO ADMINISTRACIÓN DEL RIESGO
CREDITICIO Y OPERATIVO DEL MARCROPROCESO SOPORTE
Versión: 1 INSTRUCTIVO DE USUARIO INFORMACIÓN INTERNA
Página 15 de 16
Este documento impreso se considera copia no controlada
8 Integración de La Gestión de Incidentes con el Sistema de Gestión de Seguridad de La
Información
Figura 6 Integración de la Gestión de Incidentes con el SGSI
Como se ve en la Figura 6 la gestión de incidentes de seguridad de la información está íntimamente ligada con el Sistema de
Gestión de seguridad de la Información de una compañía, a partir de la gestión de incidentes el Sistema de Gestión de la
Seguridad de la Información puede mejorarse identificando las acciones preventivas y correctivas que deben hacerse sobre
este:
Los signos de un incidente pueden ser de dos tipos:
Signos indicadores: signos de que un incidente ha ocurrido o puede estar ocurriendo; ejemplo: alerta de un sensor
avisando de desbordamiento de buffer en un servidor, antivirus informando de sistema infectado, caída total de un
servidor, accesos lentos y generalizados a servicios o sistemas, etc.
Signos precursores: signos de que un incidente puede ocurrir en el futuro; Ejemplo: barrido de puertos, anuncio de
“exploits” que pueden aprovechar vulnerabilidades existentes en la empresa, amenazas de ataque dirigidas a la empresa
anunciadas por hackers entre otros.
Los indicadores deberían poner en marcha acciones correctivas previstas por la empresa.
Los precursores deberían ser tratados con acciones preventivas.
IU-SOP-01-01 GESTIÓN DE INCIDENTES DE
SEGURIDAD DE LA INFORMACIÓN
Vigencia: 27-11-09
PERTENECE AL PROCESO ADMINISTRACIÓN DEL RIESGO
CREDITICIO Y OPERATIVO DEL MARCROPROCESO SOPORTE
Versión: 1 INSTRUCTIVO DE USUARIO INFORMACIÓN INTERNA
Página 16 de 16
Este documento impreso se considera copia no controlada
CONTROL DEL DOCUMENTO E HISTORIA DE CAMBIOS
VERSIÓN FECHA DESCRIPCIÓN DE CAMBIOS ELABORADO POR APROBADO POR
01 27/11/09 Versión inicial Nathalia Prada
Analista de Procesos
Carlos Rubio
Jefe Riesgo Operativo